美国跨国性石油公司风险评估案例例子.pdf

美國跨國性石油公司風險評估案例 前言 此公司在30個國家有多種不同風險程度的作業，安全及安定的考量是 執行業務的關鍵因素，而風險評估則是處理這些考量的重要元素，若 業務負責單位違反機構的風險評估政策，將需提出顯著的正當理由。 雖然自 1980年代中期開始風險評估就一直是執行業務的一部分，但此 公司自1995年起則是致力於實施更遵守紀律的方法。 在進行風險評估探討時，該公司在評估資訊安全風險方面採用了相當 有效且主要為定性的方法，其係由一名總公司層級負責安全風險評估 的風險管理協調人來擔任風險評估計畫的焦點。其接下來的方法為定 義分析潛在損害情境的程序，並使用多種標準化的工具（包括內部開 發的軟體）來編輯並分析資料以及提出報告。每次評估均包括三個階 段 –計畫與準備、團隊風險評估活動以及報告進度。這些階段通常 需要二至四週完成，並需有額外的時間供業務單位研擬因應依風險評 估所提建議的行動計畫。 此程序的關鍵步驟如下圖所示，並詳述於後： 圖3：風險評估程序圖解1 步驟 參與者 計畫及準備 擬定專案計畫並遴選評估團隊 風險管理協調人及業務主管 團隊風險評估活動 收集資訊 團隊成員及其他專業人員 確認威脅 評估資產及威脅 公司威脅評估單位 團隊成員 發展情境 團隊成員 情境風險分級 確認削減風險的因應 團隊成員 團隊成員及業務單位 報告及追蹤 向管理階層簡報 撰寫報告 擬定行動計畫 團隊成員 風險管理協調人 業務主管 啟動風險評估 該公司的政策指導方針要求於任何設施或作業重大變更之前、發生重 大安全事件之後或是發現新的重大風險因素時，均應執行風險評估。 除了這些考慮因素外，該機構的目標為至少每三年評估或重新評估所 有關鍵作業的風險。 該公司的指導方針已指示專案、設施或作業部門主管通知其區域安全 協調人有關風險評估的需求，該通知通常以書面方式為之，之後再由 區域協調人書面通知機構的中央安全風險管理 協調人所將進行的評 估。由於有機構高層執行人員的強烈支持，業務單位應考慮到執行風 險評估的需求及重要性。雖然業務主 管應對啟動風險評估負主要責 任，但中央協調人亦應定期審核內部預算及專案文件，藉以確認可能 需要作風險評估的作業部門。 執行與記錄評估作業 風險評估程序可分為三個不同的領域：計畫與準備、團隊風險評估活 動以及報告。 計畫與準備 在通知即將進行的風險評估後，中央協調人應配合業務單位高層主管 擬定風險評估執行計畫，內容須包括評估目的及方法、團隊規模與組 成方式，以及執行評估所需的資訊。擬定計畫是中央協調人與業務單 位管理階層之間一種反覆進行的程序。根據中央協調人的要求，最終 計畫必須獲得業務單位管理階層的背書。 風險評估團隊應擁有多方面的學養，通常應由五至八位具備營業單位 資產及作業專門知識的人員所組成。團隊成員通常是員工，但偶爾也 包括外部顧問。團隊成員應由業務單位高層主管遴選，並應取得區域 或中央協調人核准。為確保客觀性，風險評估團隊的領導人應從